Partilhar via

Extensão de configuração da máquina da Política do Azure

  • Artigo

Você pode usar a extensão de configuração da máquina da Política do Azure para auditar as definições de configuração de uma máquina virtual. A configuração da máquina dá suporte às VMs do Azure nativamente. Servidores físicos e servidores virtuais não Azure são suportados com servidores habilitados para Azure Arc, VMware vSphere habilitado para Azure Arc ou System Center Virtual Machine Manager habilitado para Azure Arc.

Para localizar a lista de políticas de configuração de máquina, procure por configuração de máquina na página do portal de Política do Azure ou execute este cmdlet em uma janela do PowerShell para localizar a lista:

Get-AzPolicySetDefinition | Where-Object {$_.Properties.metadata.category -eq "Machine Configuration"}

Nota

A funcionalidade de configuração da máquina é atualizada regularmente para oferecer suporte a conjuntos de políticas adicionais. Verifique se há novas políticas suportadas periodicamente e avalie se elas serão úteis.

Implementação

Use o seguinte exemplo de script do PowerShell para implantar essas políticas em:

  • Verifique se as configurações de segurança de senha em computadores Windows e Linux estão definidas corretamente.
  • Verifique se os certificados não estão perto da expiração em VMs do Windows.

Antes de executar esse script, use o Connect-AzAccount cmdlet para entrar. Ao executar o script, você deve fornecer o nome da assinatura à qual deseja aplicar as políticas.


    # Assign machine configuration policy.

    param (
        [Parameter(Mandatory=$true)]
        [string] $SubscriptionName
    )

    $Subscription = Get-AzSubscription -SubscriptionName $SubscriptionName
    $scope = "/subscriptions/" + $Subscription.Id

    $PasswordPolicy = Get-AzPolicySetDefinition -Name "3fa7cbf5-c0a4-4a59-85a5-cca4d996d5a6"
    $CertExpirePolicy = Get-AzPolicySetDefinition -Name "b6f5e05c-0aaa-4337-8dd4-357c399d12ae"

    New-AzPolicyAssignment -Name "PasswordPolicy" -DisplayName "[Preview]: Audit that password security settings are set correctly inside Linux and Windows machines" -Scope $scope -PolicySetDefinition $PasswordPolicy -AssignIdentity -Location eastus

    New-AzPolicyAssignment -Name "CertExpirePolicy" -DisplayName "[Preview]: Audit that certificates are not expiring on Windows VMs" -Scope $scope -PolicySetDefinition $CertExpirePolicy -AssignIdentity -Location eastus

Próximos passos

Saiba como habilitar o controle de alterações e alertas para alterações críticas de arquivos, serviços, softwares e registros.

Habilite o rastreamento e o alerta para alterações críticas